Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Controles CSPM de Security Hub para Amazon Bedrock AgentCore
Estos AWS Security Hub CSPM controles evalúan el AgentCore servicio y los recursos de Amazon Bedrock. Es posible que los controles no estén disponibles en todos Regiones de AWS. Para obtener más información, consulte [Disponibilidad de los controles por región](securityhub-regions.md#securityhub-regions-control-support).
## [BedrockAgentCore.1] Los AgentCore tiempos de ejecución de Bedrock deben configurarse con el modo de red VPC
**Categoría:** Proteger > Gestión del acceso seguro > Recurso no accesible públicamente
**Gravedad:** alta
**Tipo de recurso:** `AWS::BedrockAgentCore::Runtime`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-runtime-private-network-required.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-runtime-private-network-required.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si un entorno de AgentCore ejecución de Amazon Bedrock está configurado con el modo de red VPC. El control falla si el modo de red del motor de ejecución está establecido en PUBLIC.
El uso del modo de red pública para los AgentCore tiempos de ejecución de Amazon Bedrock expone el tiempo de ejecución directamente a Internet, lo que aumenta la superficie de ataque y el riesgo de acceso no autorizado. La configuración de los tiempos de ejecución con el modo de red de VPC garantiza que el tráfico en tiempo de ejecución se limite a su red privada, lo que le permite aplicar controles de seguridad a nivel de red, como grupos de seguridad ACLs, redes y registros de flujo de VPC.
### Corrección
Para solucionar este problema, actualiza el tiempo de AgentCore ejecución de Bedrock que no es compatible y configúralo con el modo de red VPC. Para obtener instrucciones, consulte [Configurar el tiempo de AgentCore ejecución y las herramientas de Amazon Bedrock para VPC](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/agentcore-vpc.html) en la Guía para desarrolladores de *Amazon AgentCore Bedrock*.
## [BedrockAgentCore.2] Bedrock AgentCore Gateways debe requerir autorización para las solicitudes entrantes
**Categoría:** Proteger - Administración de acceso seguro
**Gravedad:** alta
**Tipo de recurso:** `AWS::BedrockAgentCore::Gateway`
**Regla de AWS Config : ** [https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-gateway-authorizer-enabled.html](https://docs.aws.amazon.com/config/latest/developerguide/bedrockagentcore-gateway-authorizer-enabled.html)
**Tipo de horario:** provocado por un cambio
**Parámetros:** ninguno
Este control comprueba si Amazon Bedrock AgentCore Gateway requiere autorización para las solicitudes entrantes. El control falla si Bedrock AgentCore Gateway no tiene configurada la autorización de entrada.
La configuración de la autenticación en AgentCore las pasarelas de Amazon Bedrock garantiza que solo los clientes autorizados puedan enviar solicitudes a sus agentes de IA. Sin un autorizador, cualquier entidad con acceso de red al punto final de la puerta de enlace puede invocar a sus agentes, lo que podría provocar un acceso no autorizado a los datos, un uso indebido de los recursos o costes inesperados. La autorización entrante valida a los usuarios que intentan acceder a los objetivos a través de su puerta de enlace. AgentCore
### Corrección
Para configurar la autorización de AgentCore entrada para una puerta de enlace de Amazon Bedrock, consulte [Configurar la autorización de entrada para una puerta de enlace en la Guía para](https://docs.aws.amazon.com/bedrock-agentcore/latest/devguide/gateway-inbound-auth.html#gateway-inbound-auth-none) desarrolladores de *Amazon Bedrock AgentCore *.